Sur la page d’accueil, nous avons un formulaire demandant l’heure en secondes, ainsi qu’une frame pointant vers un fichier .cgi, qui lui, affiche l’heure en toutes lettres.
Notre 1ère idée a été de faire un script qui se synchronise avec l’heure affichée par le .cgi afin de renvoyer l’heure exacte en secondes, au bon moment, mais cela n’a rien donné.
L’idée suivante a été meilleure, un script cgi, une faille, ne serait-ce pas une exploitation de notre chère vulnérabilité shellshock ?

Continuer la lecture de [Cybercamp 2015] [Web 13] Write Up →